“优秀”的工业信息安全应用案例,是什么样?安恒信息给你答案
在2020年中国工业信息安全大会暨全国工控安全深度行(京津冀站)上,安恒信息“智能制造企业工业互联网平台安全防护建设方案”获得了“2020年工业信息安全优秀应用案例”。这意味着该方案符合当前工业互联网安全发展需求,且在行业内有广泛的推荐和应用价值。
方案概述
以某大型智能制造企业的整体工业物联网信息系统建设为基础,分析安全建设需求,结合国家等级保护建设规范、网络安全法,通过打造被动的静态防御和主动防御相结合的安全部署方式,为生产基地构建独立的网络安全防护围墙,提高防攻击的反应能力和预警能力,为该大型智能制造业的信息安全合规性建设、业务监管和防护、安全运营管理和机制建设提供指导。
智能制造业面临的内外部安全现状
“数字化、智能化、网络化”为特征的工业互联网正在快速发展,智能制造业在享受发展红利的同时,也面临着更为严峻的安全问题:
1)生产设备安全:大量生产设备直接暴露在网络中,成为安全攻击的“肉鸡”武器。
2)端到端生产模式下的网络安全:“端到端”的生产模式、无人化生产发展趋势,使得工业互联网安全防护的边界空前扩张。
3)生产控制系统安全:当前企业控制安全主要关注控制过程的功能安全,诸如认证、授权和加密等信息安全防护缺乏。
4)应用安全:网络化协同、服务化延伸、个性化定制等新模式新业态出现,工业应用更为复杂,现有的工业应用的业务隔离能力、网络安全保障能力欠缺。
5)数据安全:数据是工业互联网的核心,但由于数据流动方向和路径复杂,重要工业数据以及用户数据保护难度大。
主被动一体化安全防护体系
安恒信息针对智能制造业面临的安全威胁,结合自身的网络安全能力,为某大型智能制造企业构建了被动的静态防御和主动防御相结合的安全防护体系。
1) 多层次的安全隔离措施
在企业的大专网中,划分一个生产专网,将办公网络和生产网络区分开,在生产网络中再进一步划分若干个子网;生产区根据设备和业务特点,划分不同安全区域,每个区域对应一个网络子网。通过严格的安全隔离措施,来弥补工控系统自身防护能力弱的问题。
2) 严格的网络访问控制
每个子网分配私有 IP 地址段,子网之间通信需要通过网关进行访问控制;设备接入生产大专网时,采用设备和用户双因子鉴权机制,设备需要先通过云的合规性和杀毒检测,各生产子网的访问权限由云平台统一管理,实现全局访问监控。
3) 部署智能的主动防御系统
通过安全态势系统、安全策略智能管理和网络诱捕系统,“三位一体”构建主动防御体系,提高了对未知的威胁感知能力和安全响应能力。
4) 安全域的划分
安全区域划分是安全隔离的基础,承载网络隔离、防火墙等安全网关部署、ACL 等安全策略都围绕安全区域划分策略展开,分为设备子域、产线服务器子域、产品测试子域、无线通信子域、云 DC 子域、安全管理子域。
5) 边界访问控制
进入生产大网的所有终端都必须通过云安全中心进行安全检测,用户的访问生产大网和子网权限由云安全策略中心进行统一管理和鉴权。此外,生产网络各安全子域采用多层边界访问控制机制。
6) 云安全资源池控制
云上资产安全防护按照不同安全域、不同安全级别的访问控制设计,实现安全运维操作的分级管理,安全运营与应急响应相结合。
7)体系规范管理
在公司现有的信息安全管理和运维体系支撑平台上扩充工业控制信息安全管理功能,形成公司工控系统信息安全管理规范。
项目创新点
技术创新
基于机器学习的异常行为检测技术
基于隐患利用路径的威胁预警分析技术
贴合了工业企业的实际需求工业主机白名单防护技术
图:异常行为检测技术流程图
产品创新
提供移动HSE管理平台,便于用户的使用,提高工作效率
终端数据安全防护产品,有效防止机密信息泄漏
工业物联网信息安全集中运营平台,为系统统一安全管理提供决策支撑
图:工业物联网安全运营流程图
模式创新
云+网+端”一体化云数据安全解决方案
集中化安全运营方案,构建了多层次、全方位、立体的体系架构
方案应用价值
1、预见性安全维护,降低生产中断频率,大幅度减少因恶意攻击造成的经济损失
该解决方案打造了网络安全集中运营中心,预见性安全维护,可以有效提高预见性维护与修复性维护的比率。同时,可以将检测潜在不良网络安全现象、提供潜在网络攻击警示。针对重要基础设施行业如电力、石化行业的大型企业,停机1天可损失数百万甚至上千万元的经济利益,可以最大程度上保证生产安全稳定运行,可使企业获得良好的经济效益及口碑价值。
2、平台化运营,减少安全运维成本,提高经济效益
通过采用工业物联网信息安全集中运营平台,用无监督的算法对数据进行智能判断,并在分析结果上打上标记,专业团队提供7*24X小时的安全专家运维服务。
3、 为依法推进工业控制系统安全建设提供基础支撑及创新手段
该方案根据《工业控制系统信息安全行动计划(2018—2020年)》的“一网一库三平台”的建设目标,在依法推进工业控制系统安全建设过程中,提供更安全的主动安全保护手段支撑,推进关键信息基础设施全行业的依法安全建设过程,解决了工业控制系统安全保护技术在大规模产业应用的痛点。
4、促进工控安全保护体系建设,增强市场活力
该方案可以大幅提高国内对工业控制系统安全防护的技术水平和掌握水平,大规模应用行业的工控安全成果推广案例,形成对重要国家其他基础设施的可应用实施的系列产品及方案,带动本领域市场活力的进一步提升。
往期精选
围观
热文
热文